Aplikasi pemindai dokumen PDF CamScanner diketahui terinfeksi malware.
Hal itu terungkap dalam riset terbaru yang dilakukan Kaspersky.
Dalam temuannya, Kaspersky mencatat CamScanner terinfeksi modul malware berjenis ‘Trojan Dropper’. Malware ini didesain sebagai mekanisme pengiriman untuk malware lain dengan tujuan khusus.
Kaspersky mencatat aplikasi yang terjangkit Trojan Dropper bisa menampilkan iklan yang mengganggu dan mendaftar pengguna untuk berlangganan versi berbayar.
Aplikasi yang sudah diunduh lebih dari seratus juta kali di Google Play Store ini mengaku telah mendeteksi iklan SDK yang disediakan oleh pihak ketiga yakni AdHub.
SDK yang disediakan AdHub diketahui mengandung modul malicious yang bisa memproduksi klik iklan yang tidak pernah dilakukan pengguna.
“Kami telah menghapus semua iklan SDK yang tidak disertifikasi oleh Google Play dan versi baru akan segera dirilis,” tulis CamScanner yang juga menambahkan solusi bagi pengguna untuk mengunduh versi terbarunya.
Mengutip Forbes, untuk meningkatkan keamanan pada ponsel pengguna, Google menyediakan layanan Play Protect. Raksasa teknologi ini berharap fitur keamanannya itu bisa lebih cepat mendeteksi dan menghapus pengembang yang terjangkit malware.
Kaspersky mengingatkan pengguna bahwa ini menjadi pelajaran penting agar pengguna berhati-hati ketika mengunduh aplikasi di ponsel, meski itu buatan pengembang resmi.
“Bahkan satu aplikasi dengan reputasi baik, dan bahkan satu dengan jutaan ulasan positif dan basis pengguna besar dan loyal – bisa berubah menjadi malware dalam waktu semalam,” tulis Kaspersky.
Akibat masalah ini, Kaspersky mengirimkan notifikasi ke pihak Google. Sebagai tindak lanjut, raksasa teknologi asal Mountain View ini menghapus aplikasi CamScanner dari Play Store.
Selain itu, sebelumnya, aplikasi gim berisi malware telah diunduh lebih dari dua puluh lima juta perangkat pengguna Android. Malware “Agent Smith” ini sebagian besar disisipkan di aplikasi gim yang didistribusikan pada toko aplikasi pihak ketiga asal China.
Kebanyakan toko aplikasi ini memiliki izin bisnis resmi dan menyebut bisnis mereka untuk membantu mempromosikan aplikasi para pengembang.
Malware ini sangat lihai. Ia tidak mencuri data dari pengguna. Tapi ia menginfeksi aplikasi dan memaksa aplikasi menampilkan lebih banyak iklan.
Mereka juga mengambil alih tampilan iklan di perangkat pengguna atas nama perusahaan iklan yang menyebarkan malware ini. Sehingga perusahaan diuntungkan dari jumlah ‘view’ (tampilan) palsu dari iklan tersebut.
Malware ini juga bisa menduplikasi aplikasi asli yang ada di ponsel pengguna, termasuk WhatsApp dan peramban mobile Opera. Ia lantas menyuntikkan kode perangkat lunak berbahaya ke aplikasi tersebut dan menyingkirkan aplikasi asli.
Nama ‘Agent Smith’ sendiri dipakai karena perilaku serangan ke perangkat dan aplikasi serta kepiawaiannya menghindari deteksi, seperti dilaporkan The Verge.
Berdasarkan penelitian Check Point, malware ini memanfaatkan kerentanan dari cara Google melakukan pembaruan aplikasi. Aplikasi yang telah dibajak ini akan tetap berfungsi seperti biasa, sehingga pengguna tak akan sadar aplikasinya telah terinfeksi malware.
Namun, perusahaan itu tidak menyebut perusahaan toko aplikasi apa yang terlibat, sebab mereka tengah bekerjasama dengan penegak hukum setempat.
Aplikasi yang telah dibajak akan menampilkan iklan yang tak diinginkan pengguna.
Meski tampak tak berbahaya, tapi kerentanan keamanan yang sama bisa digunakan untuk membajak akun perbankan, akun e-commerce, atau aplikasi sensitif lainnya, jelas Aviram Hazum, kepala analis dan tim cepat Check Point untuk perangkat mobile.
“Berdasarkan hipotesis, tidak ada yang akan menghentikan mereka untuk menargetkan aplikasi bank, mengubah fungsi dan mengirimkan informasi perbankan Anda ke pihak ketiga,” jelas Hazum.
“Pengguna tidak akan melihat perbedaannya, tapi penyerang bisa masuk ke akun perbankan Anda dari jarak jauh.”
Bukan cuma menginfeksi dari toko aplikasi miliknya, perusahaan ini juga memiliki 11 aplikasi di Google Play Store yang juga sudah disuntik “Agent Smith”.
Namun, malware ini masih “tertidur”. Malware ini bisa dibangunkan dengan ‘spanduk’ (banner) iklan yang memiliki kata kunci ‘infeksi’. Aplikasi ini telah dihapus dari Google Play Store. Tapi, sebelumnya aplikasi tersebut telah diunduh 10 juta kali.
Penting untuk diketahui pengguna bahwa iklan pada aplikasi seringkali bukan sekedar iklan. Menurut Dustin Childs, manager komunikasi untuk perusahaan keamanan siber Trend Micro Zero Days Initiative.
Tapi ada juga program khusus yang akan memberi hadiah bagi peretas dan peneliti yang berhasil menemukan celah keamanan di perangkat lunak.
“Kami telah melihat iklan berbahaya yang bisa menginstal aplikasi ketika pengguna mengunjungi situs tertentu dari perangkat Android. Mereka bisa menanamkan ransomware, mengopi kontak,” tuturnya, seperti dikutip Phys.
Untuk itu ia menyarankan pengguna Android untuk memasang pemblokir software dan selalu memperbarui perangkat mereka. Pengguna juga disarankan hanya mengunduh aplikasi dari Google Play Store.
“Pengembang aplikasi tak bisa melakukan apapun untuk mencegah hal ini,” jelas Hazum. “Perbaikan harus datang dari sistem operasi.”
Selama ini Google kerap menambal kerentanan pada sistem operasi miliknya. Namun, ragam perangkat Android yang ada membuat tambalan ini seringkali tidak bisa mencakup seluruh pengguna Android.